Deutsch | English
Dieser Blog enthält keine offiziellen Aussagen von CERT.at, sondern persönliche Meinungen einzelner Mitarbeiter.

DDoS via NTP-Reflection

8. Jänner 2014

In den letzten Wochen kam es vermehrt zu Distributed Denial of Service-Attacken mittels NTP-Reflection. Potentielle Angreifer machen sich hierbei den in älteren Versionen des Daemons standardmässig aktivierten monlist-Befehl zu Nutze. Hierbei handelt es sich um einen Befehl der dem Angreifer eine Liste der letzten 600 Hosts die sich mit dem NTP-Server verbunden haben zurückliefert. Nicht nur bedeutet dies, dass unter Umständen sensible Informationen über das gesamte Netzwerk erhalten werden können, aufgrund der Grösse der retournierten Pakete eignet es sich auch für reflektierte DDoS-Attacken.

Das Ausnutzen dieser Schwachstelle ist sehr einfach, der Netzwerkscanner nmap bietet ein monlist-Modul zur Informationssammlung, das Penetrationstestframework Metasploit kommt mit einem eigenen Modul für DDoS-Attacken mittels monlist. Um zu testen, ob die eigene Installation anfällig für diese Art von Angriff ist reicht es auf UNIX-artigen Systemen den folgenden Befehl in der Shell auszuführen:

ntpdc -n -c monlist 127.0.0.1

Sollte daraufhin vom Server eine Liste an zuletzt verbundenen Clients ausgegeben werden ist der Server anfällig für die genannte Attacke.

Der einfachste Weg den Missbrauch des eigenen NTP-Servers zu verhindern ist durch ein Upgrade auf die Version 4.2.7 oder höher, mit dieser fällt der monlist-Befehl vollständig weg. Sollte ein Upgrade keine Option darstellen ist es möglich den Daemon mit der Option "disable monitor" zu starten.

Weitere Informationen zur Absicherung von NTP-Software für andere Systeme (Cisco, Juniper) finden sich in einem Artikel von Team Cymru.

Autor: Alexander Riepl

Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Kritische Sicherheitslücken in Adobe Acrobat und Reader - Patches verfügbar
2. Oktober 2018 | Beschreibung Adobe ...
Kritische Sicherheitslücken in Adobe Acrobat und Reader - Patches verfügbar
19. September 2018 | Beschreibung Adobe ...
mehr ...
Der nächste Meilenstein: [CERT.at #1000000]
26. September 2018 | ...
DoS-Schwachstelle im Kernel - keine Panik!
7. August 2018 | In der ...
mehr ...
Jahresbericht 2016
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2014/1/10 - 17:00:17
Haftungsausschluss / Datenschutzerklärung